Im Rahmen seines im vergangenen Herbst gestarteten vierteljährlichen Zeitplans für die Herausgabe von "Critical Patch Updates" (CPUs) hat Oracle ein mächtiges Sammel-Update angekündigt. Damit sollen Fehler in der Datenbank-, Applikations-Server-Software sowie den Collaboration- und E-Business-Suiten des Anbieters beseitigt werden. Enthalten sind auch Fixes für Peoplesoft- und J.D.-Edwards-Produkte. Insgesamt adressiert Oracle mit dem Patch-Paket etwa 100 Probleme. Nach Angaben von Alexander Kornbrust von Red Database Security sind allein 82 davon sicherheitsrelevant. Andere sind nicht sicherheitskritisch, aber laut Oracle notwendig, weil sie im Zusammenhang mit anderen Security-Patches stehen.
Die Updates sind kumulativ, so dass Anwender mit dem Update auch Fixes für frühere Fehler erhalten. Außerdem enthält die Sammlung ein Utility zur Überprüfung von voreingestellten Konten und Passwörtern, das Anwendern helfen soll, vordefinierte Datenbankkonten zu sichern. Kornbrust kritisiert auf der Web-Site seiner Firma, dass dieses Tool lediglich aus einem SQL-Select-Statement besteht, dass das Vorhandensein bestimmter Passwort-Hashes kontrolliert. Er empfiehlt als Alternative ein von seiner Firma entwickeltes Utility, dass auf seiner Homepage kostenlos zur Verfügung steht.
Experten sehen Oracles Vorgehensweise mit gemischten Gefühlen. So erkennt David Litchfield, Managing Director der britischen Firma Next Generation Security Software, zwar "große Verbesserungen in Oracles Prozessen zur Reaktion auf Sicherheitsprobleme". Der Datenbankriese habe jedoch noch immer viel Arbeit vor sich: Bislang sei jedes kritische Update fehlerhaft gewesen und habe mehrfach überarbeitet werden müssen. Anwender, die das Patch-Paket sofort installieren, müssten damit rechnen, diesen Prozess bis zum Erscheinen des nächsten größeren Updates zu wiederholen. Litchfield hat in der Vergangenheit des Öfteren für Aufsehen gesorgt, weil er - ähnlich wie Kornbrust - kritische Fehler identifiziert und publik gemacht hat.
Aber auch Anwender kritisieren Oracles Praxis. Einerseits wird der Quartalszyklus für die Herausgabe von Patches als ziemlich lang empfunden. Außerdem fühlen sich Kunden von dem Hersteller nicht ausreichend informiert. Nach Ansicht von Shlomo Kramer, CEO der Sicherheitsfirma Imperva, sind Oracles Angaben zu den von dem aktuellen Update adressierten Schwachstellen eher dürftig. Oracle habe nur wenige Details dazu veröffentlicht. Es sei jedoch wichtig, dass Anwender die kritischen Probleme verstehen, so dass sie sich diesen zuerst widmen könnten. Oracles nächstes Sammel-Update ist für den Mitte April geplant. (ave)
